Бесплатная система мониторинга безопасности АСУ ТП
Компания Positive Technologies выпустила облегченную версию системы PT Industrial Security Incident Manager ― PT ISIM freeView Sensor. Этот бесплатный продукт предназначен для решения базовых задач мониторинга ИБ АСУ ТП, не требует сложной настройки и специфической экспертизы при использовании. Скачивание PT ISIM freeView Sensor с официального сайта и запуск системы занимают считанные минуты.
Как поясняют в компании, обеспечение ИБ в АСУ ТП сопряжено с массой вопросов (определение ролей и зон ответственности, актуализация данных о сети АСУ ТП, оценка ее защищенности, поиск необходимых инструментов защиты и т.п.). При этом использование стандартных средств ИБ (например, антивирусов) в силу специфики АСУ ТП может быть затруднено, а специализированные инструменты недоступны широкому кругу пользователей. PT ISIM freeView Sensor, будучи бесплатным инструментом инвентаризации сети АСУ ТП и мониторинга киберзащищенности ее ресурсов, помогает преодолеть этот барьер.
Новое решение предоставляется в виде виртуальной машины, которая подключается к порту зеркалирования (Mirror, SPAN) коммутатора сети АСУ ТП. Система обрабатывает копию трафика сети АСУ ТП (в том числе таких протоколов, как CIP, IEC-104, MMS, Modbus TCP, OPC DA, Profinet DCP, S7, Spabus, ARP, DHCP, DNS, FTP, HTTP, ICMP, SNMP, SSH, Telnet, TFTP), не оказывая влияния на ее компоненты.
Ключевые задачи, решаемые с помощью PT ISIM freeView Sensor:
• инвентаризация сетевых активов АСУ ТП – система позволяет визуализировать топологию сети с узлами, соединениями, группами узлов;
• контроль информационного взаимодействия – в числе прочего предусмотрен режим обучения, когда система запоминает все сетевые узлы и взаимодействия между ними, заводит инциденты на сетевые аномалии и пр.;
• выявление сетевых и промышленных атак, а также случаев неавторизованного управления.
Кроме решения базовых задач, PT ISIM freeView дает пользователю возможность накопить опыт, необходимый для более эффективной работы с коммерческими версиями системы PT Industrial Security Incident Manager. Их отличает полноценная техническая поддержка, большее число поддерживаемых протоколов, расширенные возможности интеграции с внешними системами (в том числе специфическими для отраслей). Коммерческие версии системы имеют возможности для разбора трафика с учетом особенностей конкретного промышленного объекта, позволяют видеть актуальную в любой момент времени картину сетевых объектов на мнемосхеме технологического процесса, настраивать сценарии выявления атак с учетом специфики конкретного объекта, могут работать как источник информации об инцидентах безопасности в рамках индустриального SOC и являться ключевым компонентом, реализующим требования по безопасности, предъявляемые регуляторами к технологическому сегменту.